免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2022年上半年 信息系统项目管理师 下午试卷 案例
  第3题      
  知识点:   PKI   项目管理   PKI技术   风险登记册   风险管理   风险管理计划   管理流程   系统的安全   项目风险管理   项目管理计划   泄露   信息安全   信息篡改

 
A公司承接某市机关事业单位界老保险信息系统,项目覆盖个市、区、县的机关事业单位在编人员的养老保险信息,实现数据集中统一管理。公司成立了项目组,并任命小王担任项目经理。项目组对项目进行调研后,成立了风险管理小组,编写了项目管理计划和风险管理计划,明确项目风险管理流程如下图所示:

项目组对风险登记册的各风险制定了相应措施,部分措施如下所示:

此外,在信息安全方面,养老保险数据信息涉及个人隐私,如果不法分子突破安全限制,会造成用户隐私泄露信息篡改。因此项目组采用PKI技术为系统的安全运行提供了有效的保障。
 
问题:3.1   (4分)
请结合案例,指出该项目风险管理流程中存在的问题。
 
问题:3.2   (10分)
请指出案例中列出的风险措施分别采用的是哪种风险应对策略。
 
问题:3.3   (8分)
项目组使用的PKI技术采用双密钥、双证书机制,请简述双密钥证书的生成过程。
 
问题:3.4   (3分)
请将下面(1)~ (3)处的答案填写在答题纸的对应栏内。
SWOT技术从项目的每个(1)、劣势、(2)和(3)出发,对项目进行考察,把产生于内部的风险都包括在内,从而更全面的考虑风险。
 
 
 

   知识点讲解    
   · PKI    · 项目管理    · PKI技术    · 风险登记册    · 风险管理    · 风险管理计划    · 管理流程    · 系统的安全    · 项目风险管理    · 项目管理计划    · 泄露    · 信息安全    · 信息篡改
 
       PKI
        PKI的基本概念
        1.PKI的总体架构
        PKI(Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。它是支持安全五要素的技术基础设施。
        一个网络的PKI包括以下几个基本构件:
        .数字证书:由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥和私钥信息及其他属性信息等。数字证书提供了PKI的基础。
        .认证中心:即CA,是PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期的管理,还提供密钥管理和证书在线查询等服务。
        .数字证书注册审批机构:即RA,是CA的数字证书发放、管理的延伸。它负责数字证书申请者信息的录入、审核以及数字证书发放等工作。RA系统是整个CA中心得以正常运营不可缺少的一部分。
        .数字签名:利用发信者的私钥和可靠的密码算法对待发信息或其电子摘要进行加密处理,这个过程和结果就是数字签名。
        .密钥和证书管理工具:管理和审计数字证书的工具,认证中心使用它来管理一个在CA上的证书。
        .双证书体系:PKI采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国家密码管理委员会指定的算法。
        从宏观来看,PKI的体系架构概括为两大部分:
        .PKI信任服务体系:是为整个业务应用系统提供基于PKI数字证书认证机制的实体身份鉴别服务,包括了认证机构、注册机构、证书库、证书撤销和交叉认证等。
        .PKI密钥管理中心:即KMC,提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥回复功能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。
        2.双证书、双密钥机制
        一对密钥(一张证书)的弊端:
        .如果密钥不备份,当密钥损坏时,以前加密的信息不可解密。
        .如果密钥不备份,很难实现信息审计。
        .如果密钥不备份,数字签名的不可否认性很难保证。
        两对密钥(两张证书)的优点:
        .一对密钥用于签名,一对密钥用于加密。
        .加密密钥在密钥管理中心生成及备份,签名密钥由用户自行生成并保存。
        3.数字证书的主要内容
        数字证书是公开密钥体制的一种密钥管理媒介。主要内容有:
        .主体名称:唯一标识证书所有者的标识符。
        .签证机关名称(CA):唯一标识证书签发者的标识符。
        .主体的公开密钥:证书所有者的公开密钥。
        .CA的数字签名:CA对证书的数字签名,保证证书的权威性。
        .有效期:证书在该期间内有效。
        .序列号:CA产生的唯一性数字,用户证书管理。
        .用途:主体公钥的用途。
        数字证书生命周期
        PKI/CA对数字证书的管理是按照数字证书的生命周期实施的。数字证书的生命周期包括:
        .安全需求确定:安全需求的确定必须完成的工作包括标识需要证书的应用程序、确定所需要的安全级别、标识需要证书的用户、确定如何保护私有密钥。
        .证书登记:从CA申请和接收一个证书的过程称为登记。这个过程可分为几个步骤,包括生成一个密钥对、收集登记信息、申请证书、用CA的公开密钥对申请进行加密、验证信息、创建证书、发送或邮寄证书。
        .证书分发:企业CA向用户颁发证书。
        .证书撤回:CRL(证书撤销列表)不会撤回客户端上的所有证书,仅仅撤回CRL中指定的证书。
        .证书更新:当证书达到它的截止有效日期时会自动变得无效,需要更新一个新证书。
        .证书审计:使用审计来监控与证书服务器上证书的颁发有关的活动。
        证书映射为使用者使用数字证书进行实际的应用操作提供了安全的、实际的“交接认证”工作。证书到用户账户的映射可以分为:
        .一对一映射:创建从个人证书到相应的应用里用户账户的关系。当客户数目相对很小时,使用一对一映射。
        .多对一映射:为所有证书创建从一个特定CA到一个应用的用户账户的关系。能够把多个证书映射到一个用户的账户中。
        X.509的信任模型
        X.509中信任的定义为:如果实体A认为实体B严格按A所期望的那样行动,则A信任B。
        PKI/CA的信任结构类型包括:
        .层次信任结构:所有实体都信任唯一的根CA。
        .分布式信任结构:把信任分散到两个或更多个(或许是很多个)CA上。
        .Web模型的信任结构:与严格层次结构模型相似。在该模型中,许多CA的公钥被预装在正在使用的标准浏览器上,浏览器用户最初信任这些CA并把它们作为证书检验的根。
        .以用户为中心的信任模型:每个用户都对决定依赖哪个证书和拒绝哪个证书直接完全地负责。
        .交叉认证的信任关系:交叉认证是一种把以前无关的CA连接在一起的有用机制,从而使得在它们各自主体群之间的信任关系得到有效扩展,使彼此的终端实体之间的安全通信成为可能。
        认证机构职责
        认证中心(CA)是PKI/CA提供核心服务的执行机构,广义上还应包含证书的申请注册机构(RA)。
        CA的主要职责包括:
        .数字证书管理。
        .证书和证书库。
        .密钥备份以及恢复。
        .密钥和证书的更新。
        .证书历史档案。
        .客户端软件。
        .交叉认证。
        认证中心提供的服务主要包括:
        .认证:身份识别和鉴别,确认实体即为自己所声明的实体,鉴别身份的真伪。
        .数据完整性服务:确认数据没有被修改。
        .数据保密性服务:采用“数字信封”机制。
        .不可否认性服务:从技术上保证实体对其行为的认可。
        .公证服务:即数据认证,证明数据的有效性和正确性。
        PKI/CA应用模式
        PKI/CA是S-MIS和S2-MIS的安全基础平台。
        PKI/CA的应用范围包括:
        .电子商务应用。
        .电子政务。
        .网上银行。
        .网上证券。
        .其他应用。
 
       项目管理
        定义
        把各种知识、技能、手段和技术应用于项目活动之中,以达到项目的要求。管理一个项目包括:
        .识别要求。
        .确定清楚而又能实现的目标。
        .权衡质量、范围、时间和成本方面的要求,使技术规格说明书、计划和方案适合于各干系人的不同需求与期望。
        项目管理需要的知识领域
        除了专门的项目管理技术以外,项目管理组至少应能理解和使用以下5方面的知识领域:
        .项目管理知识体系。
        .应用领域的知识、标准和规定。
        .项目环境知识。
        .通用的管理知识和技能。
        .软技能(处理人际关系技能)。
        项目管理体系
        项目管理体系是指用于管理项目的工具、技术、方法、资源和规程。项目管理计划说明如何使用项目管理体系。
        项目管理环境
        项目管理团队应该考虑的项目环境包括:
        .社会环境:经济、人口、教育、道德、种族、宗教和其他特征等。
        .政治环境:法律、风俗和政治风气等。
        .自然环境:生态和自然地理等。
        项目管理办公室
        项目管理办公室(PMO)是在管辖范围内集中、协调地管理项目的组织单元。也可指“大项目管理办公室”、“项目办公室”或“大项目办公室”。PMO监控项目、大项目或各类项目组合的管理。由PMO管理的项目不必要有特定的关系,PMO关注与上级组织或客户的整体业务目标相联系的项目或子项目之间的协调计划、优先级和执行情况。
        PMO执行的职责可以是一个宽广的范围,包括从以培训、软件、标准政策和规程、模板的形式提供项目管理支持功能,到实际直接管理项目和项目的结果。
        PMO可以存在于任何组织结构中,包括职能型组织。
        项目经理和项目管理办公室的区别如下:
        .追求的目标不同。项目经理关注于特定项目的目标,而PMO管理主要的大项目范围的变化,并将之视为更好地达到业务目标的潜在机会,其工作目标包含组织级的观点。
        .项目经理控制赋予项目的资源以最好地实现项目目标,而PMO对所有项目之间的共享资源进行优化使用。
        .项目经理管理本项目的范围、进度、费用和质量,而PMO管理整体的风险、整体的机会和所有项目的依赖关系。
        过程和过程组
        过程就是一组为了完成一系列事先指定的产品、成果或服务而必须执行的互相联系的行动和活动。
        项目管理过程由项目团队实施,包括两大类:
        .面向管理的过程。即项目管理过程,其目的是启动、规划、执行、监控和结束一个项目。
        .面向产品的过程。一般由项目生命期规定,并因领域而异。
        项目管理过程和创造产品的过程从项目开始到结束始终彼此重叠交互。
        任何项目都必须执行5个项目过程组,它们与应用领域或特定行业无关。过程组不是项目阶段,每一阶段或子项目都要重复过程组的所有子过程。
        .启动过程组。定义并批准项目或阶段。在多阶段项目中,后续阶段进行的启动过程是为了确认在指定项目章程与拟定初步项目范围说明书过程中所做的原假设与决策的合理性。启动过程组也定义了项目意图,确定了目标,并授权项目经理进行项目。
        .规划过程组。定义和细化目标,规划最佳的行动方案,即从各种备选方案中选择最优方案,以实现项目或阶段所承担的目标和范围。项目团队应让所有项目干系人参与项目计划过程。当项目计划工作结束时,不管是由组织还是由项目团队负责,都要有明确的指导方针,否则将无法确定如何进行后续的反馈和细化。项目管理计划的渐进明细经常被称作“滚动式计划”,这意味着计划是一个迭代和持续的过程。
        .执行过程组。整合人员和其他资源,在项目的生命期或某个阶段执行项目管理计划。
        .监控过程组。要求定期测量和监控项目进展,识别与项目管理计划的偏差,以便在必要时采取纠正措施,确保项目或阶段目标达成。
        .收尾过程组。正式接受产品、服务或工作成果,有序地结束项目或阶段。
        项目管理过程组和“计划-执行-检查-行动(即PDCA)”循环的对应关系如下图所示。
        
        项目管理过程组和PDCA循环的对应
        规划过程组与PDCA循环中的“计划”对应;执行过程组与循环中的“执行”对应;监控过程组与循环中的“检查”和“行动”对应。启动过程组是这些循环的开始,而收尾过程组是其结束。
        过程的交互
        项目管理过程组通过它们各自所产生的结果而联系起来——一个过程的结果或者输出通常会成为另一个过程的输入或者整个项目的最终结果。在项目过程组之间以及项目过程本身当中,这种联系是迭代的。
        如果一个项目被划分成阶段,每个阶段中的过程经常会反复进行。项目中过程组的相互作用如下图所示。
        
        过程组的相互作用
        5个项目过程组与44个项目管理过程及9个项目管理知识域的映射关系如下表所示。
        
        过程组、过程和类知识域的映射关系
        注:1.在《信息系统项目管理师教程》中,“团队组建”被划分为规划过程组。在PMBOK 2004版中,“团队组建”在执行过程组中,笔者认为划分在执行过程组中更合理。
        2.发包规划在《信息系统项目管理师教程》中也称为计划签约和编制合同。
 
       PKI技术
        在密钥管理中,不依赖秘密信道的密钥分发技术一直是一个难题。1976年,Deffie和Hellman提出了双钥密码体制和D-H密钥交换协议,大大促进了这一领域的进程。但是,在双钥体制中只是有了公、私钥的概念,私钥的分发仍然依赖于秘密通道。1991年,PGP首先提出了Web of Trust信任模型和密钥由个人产生的思路,避开了私钥的传递,从而避开了秘密通道,推动了PKI技术的发展。
        公钥基础结构(Public Key Infrastructure, PKI)是运用公钥的概念和技术来提供安全服务的、普遍适用的网络安全基础设施,包括由PKI策略,软、硬件系统,认证中心(CA),注册机构(RA),证书签发系统和PKI应用等构成的安全体系,如下图所示。
        
        PKI的组成
        PKI策略定义了信息安全的指导方针和密码系统的使用规则,具体内容包括CA之间的信任关系、遵循的技术标准、安全策略、服务对象、管理框架、认证规则、运作制度、所涉及的法律关系等;软、硬件系统是PKI运行的平台,包括认证服务器、目录服务器等;认证中心(Certificate Authority, CA)负责密钥的生成和分配;注册机构(Registration Authority, RA)是用户(Subscriber)与CA之间的接口,负责对用户的认证;证书签发系统负责公钥数字证书的分发,可以由用户自己或通过目录服务器进行发放;PKI的应用非常广泛,包括Web通信、电子邮件、电子数据交换、电子商务、网上信用卡交易、虚拟专用网等都是PKI潜在的应用领域。
        20世纪90年代以来,PKI技术逐渐得到了各国政府和许多企业的重视,由理论研究进入商业应用阶段。IETF和ISO等国际组织陆续颁布了X.509、PKIX、PKCS、S/MIME、SSL、SET、IPSec、LDAP等一系列与PKI应用有关的标准;RSA、VeriSign、Entrust、Baltimore等网络安全公司纷纷推出了PKI产品和服务;网络设备制造商和软件公司开始在网络产品中增加PKI功能;美国、加拿大、韩国、日本和欧盟等国家相继建立了PKI体系;银行、证券、保险和电信等行业的用户开始接受和使用PKI技术。
        PKI解决了不依赖秘密信道进行密钥管理的重大课题,但这只是概念的转变,并没有多少新技术。PKI是在民间密码研究摆脱政府控制的斗争中发展起来的,而这种斗争一度达到了白热化程度,PGP的发明者Philip Zimmermann曾经因为违反美国的密码产品贸易管制政策而被联邦政府调查。PKI以商业运作的形式壮大起来,以国际标准的形式确定。PKI技术完全开放,甚至连一向持反对态度的美国国防部(DoD)、联邦政府也不得不开发PKI策略。DoD定义的KMI/PKI标准规定了用于管理公钥证书和对称密钥的技术、服务和过程,KMI是提供信息保障能力的基础架构,而PKI是KMI的主要组成部分,提供了生成、生产、分发、控制和跟踪公钥证书的服务框架。
        KMI和PKI两种密钥管理体制各有其优、缺点和适用范围:①KMI具有很好的封闭性,而PKI则具有很好的扩展性。②KMI的密钥管理机制可形成各种封闭环境,可作为网络隔离的基本逻辑手段;而PKI则适用于各种开放业务,但却不适应封闭的专用业务和保密性业务。③KMI是集中式的基于主管方的管理模式,为身份认证提供直接信任和一级推理信任,但密钥更换不灵活;PKI是依靠第三方的管理模式,只能提供一级以下推理信任,但密钥更换非常灵活。④KMI适用于保密网和专用网;而PKI则适用于安全责任完全由个人或单方面承担,安全风险不涉及他方利益的场合。
        从实际应用方面看,互联网中的专用网主要处理内部事务,同时要求与外界联系。因此,KMI主内、PKI主外的密钥管理结构是比较合理的。如果一个专用网是与外部没有联系的封闭网,那么仅有KMI就已足够。如果一个专用网可以与外部联系,那么要同时具备两种密钥管理体制,至少KMI要支持PKI。如果是开放网业务,则完全可以用PKI技术处理。
 
       风险登记册
        风险识别过程的输出是风险登记册中的初始内容。随着其他风险管理过程的实施,风险登记册中的信息种类和数量会逐渐增加。最初的风险登记册包括如下信息:
        .已识别风险清单:对已识别风险进行尽可能详细的描述。可采用结构化的风险描述语句对风险进行描述。
        .潜在应对措施清单:在识别风险过程中,有时可以识别出风险的潜在应对措施。这些应对措施应作为规划风险应对过程的输入。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险管理计划
        为了确保系统转换的万无一失,不仅要在前期做很多次的模拟测试,对于最后的转换过程,也需要制定周密的风险管理计划,一般至少要包括以下这些方面。
        (1)系统环境转换。保证原来所有到旧系统的访问,都能被转换到新系统上,这不仅包括应用系统的前端,还包括各类周边的相关应用系统,必须要同时指向新的应用系统。如果这方面出现问题,则只好退回到原有系统上。通常这方面的问题在多次的测试过程中能够得到有效解决,但在向生产系统正式转换时,还是不可掉以轻心。
        (2)数据迁移。原有的旧系统从启用到被新系统取代,在其使用期间往往积累了大量珍贵的历史数据,其中许多历史数据都是新系统顺利启用所必需的。另外,这些历史数据也是进行决策分析的重要依据。数据迁移,就是将这些历史数据进行清洗、转换,并装载到新系统中的过程。在银行、电信、税务、工商、保险以及销售等领域发生系统转换时,一般都需要进行数据迁移。数据迁移的质量不仅仅是新系统成功上线的重要前提,同时也是新系统今后稳定运行的有力保障。如果数据迁移失败,新系统将不能被正常启用;如果数据迁移的质量较差,没能屏蔽全部的垃圾数据,对新系统将会造成很大的隐患,新系统一旦访问这些垃圾数据,可能会由这些垃圾数据产生新的错误数据,严重时还会导致系统异常。相反,成功的数据迁移可以有效地保障新系统的顺利运行,能够继承珍贵的历史数据。
        将业务数据从旧系统迁移到新的系统中,不仅要保证在数据转换过程中保持数据逻辑的一致性(如果新、旧系统的数据逻辑不同),而且在实际转换过程中,还要保证新旧系统之间数据的同步,保证在转换之前新旧系统的数据是一致的,在转换之后,新产生的业务数据都能反映到新的系统中,不会有任何遗漏。为了准备在出现意外时能够将新的业务数据传回到旧系统中,需要充分做好数据备份,做好数据从新系统向旧系统转换的准备,而且也要充分考虑到数据同步的问题。其实将新系统转换回旧系统,其面临的风险和需要解决的问题,基本上是相同的。在新旧系统之间的数据转换工作,可以在前期的测试中完成,但新旧系统之间的数据同步,只有在实际转换时才能完成,所以一般都会受到项目管理者的高度重视,成为大家关注的焦点。
        (3)业务操作的转换。由于新旧系统在业务操作方面可能会存在较大的变化,无论对业务人员做多少前期的培训,也难以完全改变旧的操作习惯,所以在转换到新的系统之后,还可能出现人为的业务操作方面的问题,导致业务处理方面出现差错。所以在系统转换后的相当时期内,仍然需要对业务处理进行跟踪检查,及时发现由于业务操作可能导致的问题。
        (4)防范意外风险。在风险管理中,除了计划内考虑到的可能的风险,还可能出现许多意料不到的风险,所以在风险管理计划中,不仅要有对已经识别的风险的应对措施,还要有防范其他意外的应对措施,这主要就是一种管理上的措施,一旦出现事先没有考虑到的情况,仍要能够有条不紊地应对,各种资源保持就位,随时注意发现异常情况,对于出现的问题及时报告,明确对各类问题做出判断和决策的责任归属。也就是说,要具备一套能够应对各种风险的报告、决策机制。
 
       管理流程
        信息系统软件交付之后就进入了运维阶段,该阶段短则4~5年,长则可达10年以上。运维的目的是保证信息系统软件能正常而可靠地运行,并能使系统不断得到改善和提高,以充分发挥作用。运维的过程也就是不断满足用户各种维护需求的过程。用户的维护需求是不断变化的,所以需要持续地对信息系统软件进行修改和维护。这一过程从本质上来说是一个P、D、C、A(P-Plan,策划;D-Do,实施;C-Check,检查;A-Act,处理)循环,不停顿地周而复始地运转。按照戴明质量控制理论,信息系统软件运维的管理流程如下图所示。
        
        信息系统软件运维管理流程
        信息系统软件运维服务的四个关键要素是:人员、资源、技术和过程,每个要素通过关键指标反映运维服务的能力。在运维服务提供过程中,通过应用PDCA的方法论,在运维的策划、实施、检查、改进等不同阶段,通过对人员、资源、技术和过程四个服务要素的统一管理,来实现运维服务能力的持续提升。
 
       系统的安全
        系统的安全涉及两类不同的问题,一类涉及技术、管理、法律、道德和政治等问题,另一类涉及操作系统的安全机制。随着计算机应用范围扩大,在所有稍具规模的系统中都从多个级别上来保证系统的安全性。一般从4个级别上对文件进行安全性管理:系统级、用户级、目录级和文件级。
        (1)系统级。系统级安全管理的主要任务是不允许未经授权的用户进入系统,从而也防止了他人非法使用系统中各类资源(包括文件)。系统级管理的主要措施有注册与登录。
        (2)用户级。用户级安全管理是通过对所有用户分类和对指定用户分配访问权,不同的用户对不同文件设置不同的存取权限来实现。例如,在UNIX系统中将用户分为文件主、同组用户和其他用户。有的系统将用户分为超级用户、系统操作员和一般用户。
        (3)目录级。目录级安全管理是为了保护系统中各种目录而设计的,它与用户权限无关。为了保证目录的安全,规定只有系统核心才具有写目录的权利。
        (4)文件级。文件级安全管理是通过系统管理员或文件主对文件属性的设置来控制用户对文件的访问。通常可设置以下几种属性:只执行、隐含、只读、读/写、共享、系统。用户对文件的访问,将由用户访问权、目录访问权限及文件属性三者的权限所确定,或者说是有效权限和文件属性的交集。例如对于只读文件,尽管用户的有效权限是读/写,但都不能对只读文件进行修改、更名和删除。对于一个非共享文件,将禁止在同一时间内由多个用户对它们进行访问。
 
       项目风险管理
        项目风险管理的目标在于提高项目中积极事件的概率和影响,降低项目中消极事件的概率和影响。项目风险管理包括六个过程,分别为:
        .规划风险管理:定义如何实施项目风险管理活动的过程。
        .风险识别:判断哪些风险可能影响项目并记录其特征的过程。
        .定性风险分析:评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。
        .定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程。
        .规划风险应对:针对项目目标,制订提高机会、降低威胁的方案和措施的过程。
        .控制风险:在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。
        组织和干系人对待风险的态度受多种因素影响,对待风险的态度不同,愿意接受风险的程度也不同。这些因素大体可分为三类:
        .风险偏好:为了预期的回报,愿意承受不确定性的程度。
        .风险承受力:能承受的风险程度、数量或容量。
        .风险临界值:特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险;高于风险临界值将不能承受风险。
        积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内,并且与冒风险可能得到的回报相平衡,那么项目就是可接受的。为了增加价值,可以在风险承受力允许的范围内,追求那些能带来机会的积极风险。例如,采取激进的资源优化技术,就是为减少资源使用量而冒风险。
        以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出,本节对各过程的输入、输出和工具技术进行进一步解释。
 
       项目管理计划
        项目管理计划是说明项目将如何执行、监督和控制的一份文件,它整合了其他各规划过程所输出的所有子管理计划和基准。
        项目管理计划中的子管理计划包括:范围管理计划、需求管理计划、进度管理计划、成本管理计划、质量管理计划、过程改进计划、人力资源管理计划、沟通管理计划、风险管理计划、采购管理计划和干系人管理计划。
        项目管理计划中的项目基准包括:范围基准、进度基准和成本基准。
        另外,项目管理计划还可能包括以下内容:
        .项目所选用的生命周期及各阶段将采用的过程。
        .项目管理团队做出的裁剪决定,包括:
        项目管理团队所选择的项目管理过程。
        每个所选过程的执行程度。
        对这些过程所需的工具与技术的描述。
        对如何利用所选过程来管理具体项目的描述,包括这些过程间的依赖关系和相互影响,以及这些过程的主要输入和输出。
        .关于如何执行工作以实现项目目标的描述。
        .变更管理计划,用来明确如何对变更进行监控。
        .配置管理计划,用来明确如何开展配置管理。
        .对如何维护绩效测量基准的完整性的说明。
        .干系人的沟通需求和适用的沟通技术。
        .为处理未决问题和制订决策所开展的关键管理审查,包括内容、程度和时间安排等。
        项目管理计划可以是概括的或详细的,可以包括一个或多个子管理计划。每个子计划的详细程度取决于具体项目的要求。项目管理计划一旦被确定为基准,就只有在提出变更请求并经实施整体变更控制过程批准后才能变更。
 
       泄露
        信息泄漏主要包括:电磁辐射(比如,侦听微机操作过程)、乘机而入(比如,合法用户进入安全进程后半途离开)、痕迹泄露(比如,密码密钥等保管不善,被非法用户获得),等等。
        物理访问控制从根本上保护了物理器件和媒介(磁性媒介及文档媒介)免遭损坏或窃取。为防止泄漏所进行的物理安全管理应当包括一下内容。
        .一套物理安全制度,规定了安全控制标准、常识、必须遵守的规定以及出现违规事件时应采取的措施。
        .在大楼、计算机房、通讯室以及大楼以外其他存放场所中,对设备、数据、媒介和文档进行访问的流程。
        .适宜的物理控制机制,可以包括:安全警卫、身份标志、生物技术检测、摄像头、防盗警报、个人计算机和外围设备标签、条形码和锁等。
        .检查监控制度是否得到遵守,包括定期检查事件汇报和登记表。
        .及时审查违反物理访问规定的事件。
        显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。中华人民共和国保密指南第BMZ2-2001号文件《涉及国家秘密的计算机信息系统安全保密方案设计指南》第8.8条电磁泄露发射防护规定:计算机系统通过电磁泄露发射会造成信息在空间上的扩散,采用专用接收设备可以远距离接收还原信息,造成泄密。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政府、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面。
        (1)对主机房及重要信息存储、收发部门进行屏蔽处理。建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导、门的关起等。
        (2)对本地网、局域网传输线路传导辐射的抑制。由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem的外接设备处用光电转换接口,用光缆接出屏蔽室外进行传输。
        (3)对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端被分散使用,而不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备(如干扰机)来破坏对对应信息的窃取,个别重要的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到类似于在普通机房内工作。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       信息篡改
        攻击者可能通过各种技术方法和手段对网络传输的信息进行中途修改,破坏信息的完整性。信息篡改主要表现为三种方式。
        (1)篡改。改变信息流的次序或更改信息的内容。
        (2)删除。删除某个消息或消息的某些部分。
        (3)插入。在消息中插入一些信息,让接收方读不懂或接收错误的信息。
   题号导航      2022年上半年 信息系统项目管理师 下午试卷 案例   本试卷我的完整做题情况  
1 /
2 /
3 /
 
第3题    在手机中做本题